针对“Wormable” SMBv3漏洞的重要补丁已发布

微软今天终于发布了紧急软件更新,以修复SMBv3协议中最近披露的非常危险的漏洞,该漏洞可能使攻击者启动可感染蠕虫的恶意软件,该恶意软件可以将自身从一台易受攻击的计算机自动传播到另一台计算机。

漏洞跟踪为CVE-2020-0796,它是一个远程执行代码漏洞,会影响Windows 10 1903和1909版以及Windows Server 1903和1909版。

服务器消息块(SMB)通过TCP端口445运行,是一种网络协议,旨在支持文件共享,网络浏览,打印服务和网络上的进程间通信。

微软漏洞更新

SMBv3协议处理带有压缩头的请求的方式中存在 一个最新的漏洞(此漏洞现在可以在Microsoft网站上找到补丁更(KB4551762)),从而使未经身份验证的远程攻击者可以在具有SYSTEM的目标服务器或客户端上执行恶意代码特权。

压缩标头是一项功能,已于2019年5月添加到受影响的Windows 10和Windows Server操作系统协议中,旨在压缩服务器和与其连接的客户端之间交换的消息的大小。

“要利用服务器上的漏洞,未经身份验证的攻击者可以向目标SMBv3服务器发送特制数据包。要利用客户端的漏洞,未经身份验证的攻击者需要配置恶意的SMBv3服务器并说服用户连接它,”微软在通报中说。

在撰写本文时,针对此关键的可远程利用的漏洞只有一种已知的PoC攻击存在,但是对新补丁进行反向工程现在也可以帮助黑客找到可能的攻击源,从而开发出完全武器化的自我传播恶意软件。

一个单独的研究人员团队也已发布了对该漏洞的详细技术分析,认为内核池溢出是造成此问题的根本原因。

截止到今天,有将近48,000个Windows系统 容易受到最新的SMB压缩漏洞的攻击,并可以通过Internet进行访问。
由于现在可以下载受感染的SMBv3漏洞的补丁程序以供受影响的Windows版本下载,因此强烈建议家庭用户和企业尽快安装更新,而不仅仅是依靠缓解措施。

如果不适用即时补丁更新,建议至少禁用SMB压缩功能并阻止入站和出站连接的SMB端口,以防止远程利用。